Alertas de acesso a credenciais
Normalmente, os ataques cibernéticos são lançados contra qualquer entidade acessível, como um usuário com poucos privilégios, e depois se movem rapidamente lateralmente até que o invasor obtenha acesso a ativos valiosos. Os ativos valiosos podem ser contas confidenciais, administradores de domínio ou dados altamente confidenciais. O Microsoft Defender for Identity identifica essas ameaças avançadas na origem em toda a cadeia de destruição de ataques e as classifica nas seguintes fases:
- Alertas de reconhecimento e descoberta
- Alertas de persistência e escalonamento de privilégios
- Acesso a credenciais
- Alertas de movimento lateral
- Outros alertas
Para saber mais sobre como entender a estrutura e os componentes comuns de todos os alertas de segurança do Defender for Identity, consulte Noções básicas sobre alertas de segurança. Para obter informações sobre Verdadeiro positivo (TP), Benigno verdadeiro positivo (B-TP) e Falso positivo (FP), consulte as classificações de alerta de segurança.
Os alertas de segurança a seguir ajudam a identificar e corrigir atividades suspeitas da fase de acesso a credenciais detetadas pelo Defender for Identity em sua rede.
O Acesso a Credenciais consiste em técnicas para roubar credenciais, como nomes de contas e senhas. As técnicas usadas para obter credenciais incluem keylogging ou dumping de credenciais. O uso de credenciais legítimas pode dar aos adversários acesso aos sistemas, torná-los mais difíceis de detetar e fornecer a oportunidade de criar mais contas para ajudar a atingir seus objetivos.
Suspeita de ataque de força bruta (LDAP) (ID externo 2004)
Nome anterior: Ataque de força bruta usando ligação simples LDAP
Gravidade: Média
Description:
Em um ataque de força bruta, o invasor tenta se autenticar com muitas senhas diferentes para contas diferentes até que uma senha correta seja encontrada para pelo menos uma conta. Uma vez encontrado, um invasor pode fazer login usando essa conta.
Nessa deteção, um alerta é acionado quando o Defender for Identity deteta um grande número de autenticações de associação simples. Este alerta deteta ataques de força bruta realizados horizontalmente com um pequeno conjunto de senhas em muitos usuários, verticalmente com um grande conjunto de senhas em apenas alguns usuários ou qualquer combinação das duas opções. O alerta é baseado em eventos de autenticação de sensores em execução no controlador de domínio e servidores AD FS / AD CS.
Período de aprendizagem:
Nenhuma
MITRE:
| Tática MITRE primária | Acesso a credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Força Bruta (T1110) |
| Subtécnica de ataque MITRE | Adivinhação de senha (T1110.001), pulverização de senha (T1110.003) |
Passos sugeridos para prevenção:
- Aplique senhas complexas e longas na organização. Isso fornece o primeiro nível de segurança necessário contra futuros ataques de força bruta.
- Impeça o uso futuro do protocolo de texto não criptografado LDAP em sua organização.
Suspeita de uso do Golden Ticket (dados de autorização falsificados) (ID externo 2013)
Nome anterior: Escalonamento de privilégios usando dados de autorização falsificados
Gravidade: Alta
Description:
Vulnerabilidades conhecidas em versões mais antigas do Windows Server permitem que os invasores manipulem o PAC (Certificado de Atributo Privilegiado), um campo no tíquete Kerberos que contém dados de autorização do usuário (no Ative Directory, isso é associação a grupos), concedendo privilégios adicionais aos invasores.
Período de aprendizagem:
Nenhuma
MITRE:
| Tática MITRE primária | Acesso a credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Roubar ou forjar bilhetes Kerberos (T1558) |
| Subtécnica de ataque MITRE | Bilhete Dourado (T1558.001) |
Passos sugeridos para prevenção:
- Verifique se todos os controladores de domínio com sistemas operacionais até o Windows Server 2012 R2 estão instalados com o KB3011780 e se todos os servidores membros e controladores de domínio até o 2012 R2 estão atualizados com o KB2496930. Para obter mais informações, consulte PAC de prata e PAC forjado.
Solicitação maliciosa da chave mestra da API de Proteção de Dados (ID externa 2020)
Nome anterior: Malicious Data Protection Private Information Request
Gravidade: Alta
Description:
A API de Proteção de Dados (DPAPI) é usada pelo Windows para proteger com segurança senhas salvas por navegadores, arquivos criptografados e outros dados confidenciais. Os controladores de domínio possuem uma chave mestra de backup que pode ser usada para descriptografar todos os segredos criptografados com DPAPI em máquinas Windows associadas ao domínio. Os invasores podem usar a chave mestra para descriptografar quaisquer segredos protegidos por DPAPI em todas as máquinas associadas ao domínio. Nessa deteção, um alerta do Defender for Identity é acionado quando o DPAPI é usado para recuperar a chave mestra de backup.
Período de aprendizagem:
Nenhuma
MITRE:
| Tática MITRE primária | Acesso a credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Credenciais de repositórios de senhas (T1555) |
| Subtécnica de ataque MITRE | N/A |
Suspeita de ataque de Força Bruta (Kerberos, NTLM) (ID externo 2023)
Nome anterior: Falhas de autenticação suspeitas
Gravidade: Média
Description:
Em um ataque de força bruta, o invasor tenta autenticar com várias senhas em contas diferentes até que uma senha correta seja encontrada ou usando uma senha em um spray de senha em grande escala que funciona para pelo menos uma conta. Uma vez encontrado, o invasor efetua login usando a conta autenticada.
Nessa deteção, um alerta é acionado quando muitas falhas de autenticação ocorrem usando Kerberos, NTLM ou o uso de um spray de senha é detetado. Usando Kerberos ou NTLM, esse tipo de ataque normalmente é cometido horizontalmente, usando um pequeno conjunto de senhas em muitos usuários, vertical com um grande conjunto de senhas em alguns usuários ou qualquer combinação dos dois.
Em um spray de senha, depois de enumerar com êxito uma lista de usuários válidos do controlador de domínio, os invasores tentam UMA senha cuidadosamente criada contra TODAS as contas de usuário conhecidas (uma senha para muitas contas). Se o spray de senha inicial falhar, eles tentam novamente, utilizando uma senha diferente cuidadosamente criada, normalmente depois de esperar 30 minutos entre as tentativas. O tempo de espera permite que os invasores evitem acionar a maioria dos limites de bloqueio de conta baseados em tempo. O spray de senha rapidamente se tornou uma técnica favorita de atacantes e testadores de caneta. Os ataques de spray de senha provaram ser eficazes para ganhar uma posição inicial em uma organização e para fazer movimentos laterais subsequentes, tentando aumentar os privilégios. O período mínimo antes de um alerta poder ser acionado é de uma semana.
Período de aprendizagem:
1 semana
MITRE:
| Tática MITRE primária | Acesso a credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Força Bruta (T1110) |
| Subtécnica de ataque MITRE | Adivinhação de senha (T1110.001), pulverização de senha (T1110.003) |
Passos sugeridos para prevenção:
- Aplique senhas complexas e longas na organização. Isso fornece o primeiro nível de segurança necessário contra futuros ataques de força bruta.
Reconhecimento da entidade de segurança (LDAP) (ID externo 2038)
Gravidade: Média
Description:
O reconhecimento da entidade de segurança é usado pelos invasores para obter informações críticas sobre o ambiente de domínio. Informações que ajudam os invasores a mapear a estrutura do domínio, bem como identificar contas privilegiadas para uso em etapas posteriores em sua cadeia de eliminação de ataques. O protocolo LDAP (Lightweight Directory Access Protocol) é um dos métodos mais populares usados para fins legítimos e maliciosos para consultar o Ative Directory. O reconhecimento da entidade de segurança focada em LDAP é comumente usado como a primeira fase de um ataque Kerberoasting. Os ataques Kerberoasting são usados para obter uma lista de alvos de SPNs (Nomes Principais de Segurança), para os quais os invasores tentam obter tíquetes do TGS (Servidor de Concessão de Tíquetes).
Para permitir que o Defender for Identity crie perfis e aprenda usuários legítimos com precisão, nenhum alerta desse tipo é acionado nos primeiros 10 dias após a implantação do Defender for Identity. Uma vez concluída a fase inicial de aprendizagem do Defender for Identity, os alertas são gerados em computadores que executam consultas suspeitas de enumeração LDAP ou consultas direcionadas a grupos confidenciais que usam métodos não observados anteriormente.
Período de aprendizagem:
15 dias por computador, a partir do dia do primeiro evento, observado a partir da máquina.
MITRE:
| Tática MITRE primária | Descoberta (TA0007) |
|---|---|
| Tática MITRE secundária | Acesso a credenciais (TA0006) |
| Técnica de ataque MITRE | Descoberta de conta (T1087) |
| Subtécnica de ataque MITRE | Conta de Domínio (T1087.002) |
Kerberoasting passos específicos sugeridos para prevenção:
- Exigir o uso de senhas longas e complexas para usuários com contas principais de serviço.
- Substitua a conta de usuário pela Conta de Serviço Gerenciado de Grupo (gMSA).
Nota
Os alertas de reconhecimento da entidade de segurança (LDAP) são suportados apenas pelos sensores do Defender for Identity.
Suspeita de exposição ao SPN Kerberos (ID externo 2410)
Gravidade: Alta
Description:
Os invasores usam ferramentas para enumerar contas de serviço e seus respetivos SPNs (nomes principais de serviço), solicitar um tíquete de serviço Kerberos para os serviços, capturar os tíquetes TGS (Serviço de Concessão de Tíquetes) da memória e extrair seus hashes, e salvá-los para uso posterior em um ataque de força bruta offline.
Período de aprendizagem:
Nenhuma
MITRE:
| Tática MITRE primária | Acesso a credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Roubar ou forjar bilhetes Kerberos (T1558) |
| Subtécnica de ataque MITRE | Kerberoasting (T1558.003) |
Suspeita de ataque de torrefação AS-REP (ID externo 2412)
Gravidade: Alta
Description:
Os invasores usam ferramentas para detetar contas com a pré-autenticação Kerberos desabilitada e enviar solicitações AS-REQ sem o carimbo de data/hora criptografado. Em resposta, eles recebem mensagens AS-REP com dados TGT, que podem ser criptografados com um algoritmo inseguro, como RC4, e as salvam para uso posterior em um ataque de quebra de senha offline (semelhante ao Kerberoasting) e expõem credenciais de texto simples.
Período de aprendizagem:
Nenhuma
MITRE:
| Tática MITRE primária | Acesso a credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Roubar ou forjar bilhetes Kerberos (T1558) |
| Subtécnica de ataque MITRE | Torrefação AS-REP (T1558.004) |
Passos sugeridos para prevenção:
- Habilite a pré-autenticação Kerberos. Para obter mais informações sobre atributos de conta e como corrigi-los, consulte Atributos de conta não seguros.
Modificação suspeita de um atributo sAMNameAccount (exploração CVE-2021-42278 e CVE-2021-42287) (ID externo 2419)
Gravidade: Alta
Description:
Um invasor pode criar um caminho direto para um usuário Administrador de Domínio em um ambiente do Ative Directory que não esteja corrigido. Esse ataque de escalonamento permite que os invasores elevem facilmente seu privilégio para o de um administrador de domínio quando comprometem um usuário regular no domínio.
Ao executar uma autenticação usando Kerberos, o Ticket-Granting-Ticket (TGT) e o Ticket-Granting-Service (TGS) são solicitados ao Centro de Distribuição de Chaves (KDC). Se um TGS foi solicitado para uma conta que não pôde ser encontrada, o KDC tentará procurá-lo novamente com um $.
Ao processar a solicitação TGS, o KDC falha em sua pesquisa para a máquina solicitante DC1 que o invasor criou. Portanto, o KDC executa outra pesquisa anexando um $ à direita. A pesquisa é bem-sucedida. Como resultado, o KDC emite o bilhete usando os privilégios de DC1$.
Combinando CVEs CVE-2021-42278 e CVE-2021-42287, um invasor com credenciais de usuário de domínio pode aproveitá-las para conceder acesso como administrador de domínio.
Período de aprendizagem:
Nenhuma
MITRE:
| Tática MITRE primária | Acesso a credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Manipulação de token de acesso (T1134),Exploração para escalonamento de privilégios (T1068),Roubar ou forjar tíquetes Kerberos (T1558) |
| Subtécnica de ataque MITRE | Falsificação de Identidade/Roubo de Token (T1134.001) |
Atividade de autenticação Honeytoken (ID externo 2014)
Nome anterior: Atividade Honeytoken
Gravidade: Média
Description:
As contas Honeytoken são contas de chamariz configuradas para identificar e rastrear atividades maliciosas que envolvem essas contas. As contas Honeytoken devem ser deixadas sem uso enquanto têm um nome atraente para atrair invasores (por exemplo, SQL-Admin). Qualquer atividade de autenticação deles pode indicar um comportamento mal-intencionado. Para obter mais informações sobre contas honeytoken, consulte Gerenciar contas confidenciais ou honeytoken.
Período de aprendizagem:
Nenhuma
MITRE:
| Tática MITRE primária | Acesso a credenciais (TA0006) |
|---|---|
| Tática MITRE secundária | Descoberta |
| Técnica de ataque MITRE | Descoberta de conta (T1087) |
| Subtécnica de ataque MITRE | Conta de Domínio (T1087.002) |
Suspeita de ataque DCSync (replicação de serviços de diretório) (ID externo 2006)
Nome anterior: Replicação maliciosa de serviços de diretório
Gravidade: Alta
Description:
A replicação do Ative Directory é o processo pelo qual as alterações feitas em um controlador de domínio são sincronizadas com todos os outros controladores de domínio. Dadas as permissões necessárias, os invasores podem iniciar uma solicitação de replicação, permitindo que recuperem os dados armazenados no Ative Directory, incluindo hashes de senha.
Nessa deteção, um alerta é acionado quando uma solicitação de replicação é iniciada a partir de um computador que não é um controlador de domínio.
Nota
Se você tiver controladores de domínio nos quais os sensores do Defender for Identity não estão instalados, esses controladores de domínio não serão cobertos pelo Defender for Identity. Ao implantar um novo controlador de domínio em um controlador de domínio não registrado ou desprotegido, ele pode não ser identificado imediatamente pelo Defender for Identity como um controlador de domínio. É altamente recomendável instalar o sensor Defender for Identity em cada controlador de domínio para obter cobertura total.
Período de aprendizagem:
Nenhuma
MITRE:
| Tática MITRE primária | Acesso a credenciais (TA0006) |
|---|---|
| Tática MITRE secundária | Persistência (TA0003) |
| Técnica de ataque MITRE | Dumping de credenciais do SO (T1003) |
| Subtécnica de ataque MITRE | DCSync (T1003.006) |
Passos sugeridos para prevenção:
Valide as seguintes permissões:
- Replicar alterações de diretório.
- Replicar alterações de diretório tudo.
- Para obter mais informações, consulte Conceder permissões aos Serviços de Domínio Ative Directory para sincronização de perfis no SharePoint Server 2013. Você pode usar o AD ACL Scanner ou criar um script do Windows PowerShell para determinar quem no domínio tem essas permissões.
Suspeita de leitura de chave AD FS DKM (ID externo 2413)
Gravidade: Alta
Description:
A assinatura de token e o certificado de descriptografia de token, incluindo as chaves privadas dos Serviços de Federação do Ative Directory (AD FS), são armazenados no banco de dados de configuração do AD FS. Os certificados são criptografados usando uma tecnologia chamada Distribute Key Manager. O AD FS cria e usa essas chaves DKM quando necessário. Para executar ataques como o Golden SAML, o invasor precisaria das chaves privadas que assinam os objetos SAML, da mesma forma que a conta krbtgt é necessária para ataques Golden Ticket. Usando a conta de usuário do AD FS, um invasor pode acessar a chave DKM e descriptografar os certificados usados para assinar tokens SAML. Essa deteção tenta localizar todos os atores que tentam ler a chave DKM do objeto AD FS.
Período de aprendizagem:
Nenhuma
MITRE:
| Tática MITRE primária | Acesso a credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Credenciais não seguras (T1552) |
| Subtécnica de ataque MITRE | Credenciais não seguras: chaves privadas (T1552.004) |
Nota
Os alertas suspeitos de leitura de chave AD FS DKM são suportados apenas pelos sensores do Defender for Identity no AD FS.
Suspeita de ataque DFSCoerce usando o protocolo de sistema de arquivos distribuídos (ID externo 2426)
Gravidade: Alta
Description:
O ataque DFSCoerce pode ser usado para forçar um controlador de domínio a autenticar-se em uma máquina remota que está sob o controle de um invasor usando a API MS-DFSNM, que dispara a autenticação NTLM. Isso, em última análise, permite que um agente de ameaça lance um ataque de retransmissão NTLM.
Período de aprendizagem:
Nenhuma
MITRE:
| Tática MITRE primária | Acesso a credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Autenticação forçada (T1187) |
| Subtécnica de ataque MITRE | N/A |
Tentativa suspeita de delegação Kerberos usando o método BronzeBit (exploração CVE-2020-17049) (ID externo 2048)
Gravidade: Média
Description:
Explorando uma vulnerabilidade (CVE-2020-17049), os invasores tentam delegação suspeita de Kerberos usando o método BronzeBit. Isso pode levar ao escalonamento de privilégios não autorizado e comprometer a segurança do processo de autenticação Kerberos.
Período de aprendizagem:
Nenhuma
MITRE:
| Tática MITRE primária | Acesso a credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Roubar ou forjar bilhetes Kerberos (T1558) |
| Subtécnica de ataque MITRE | N/A |
Autenticação anormal dos Serviços de Federação do Ative Directory (AD FS) usando um certificado suspeito (ID externo 2424)
Gravidade: Alta
Description:
Tentativas de autenticação anômalas usando certificados suspeitos nos Serviços de Federação do Ative Directory (AD FS) podem indicar possíveis violações de segurança. O monitoramento e a validação de certificados durante a autenticação do AD FS são cruciais para impedir o acesso não autorizado.
Período de aprendizagem:
Nenhuma
MITRE:
| Tática MITRE primária | Acesso a credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Forjar credenciais da Web (T1606) |
| Subtécnica de ataque MITRE | N/A |
Nota
A autenticação anormal dos Serviços de Federação do Ative Directory (AD FS) usando alertas de certificado suspeitos só é suportada pelos sensores do Defender for Identity no AD FS.
Suspeita de invasão de conta usando credenciais de sombra (ID externo 2431)
Gravidade: Alta
Description:
O uso de credenciais de sombra em uma tentativa de invasão de conta sugere atividade maliciosa. Os atacantes podem tentar explorar credenciais fracas ou comprometidas para obter acesso não autorizado e controle sobre as contas de usuário.
Período de aprendizagem:
Nenhuma
MITRE:
| Tática MITRE primária | Acesso a credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Dumping de credenciais do SO (T1003) |
| Subtécnica de ataque MITRE | N/A |
Suspeita de solicitação suspeita de tíquete Kerberos (ID externo 2418)
Gravidade: Alta
Description:
Este ataque envolve a suspeita de pedidos anormais de bilhetes Kerberos. Os invasores podem tentar explorar vulnerabilidades no processo de autenticação Kerberos, potencialmente levando a acesso não autorizado e comprometimento da infraestrutura de segurança.
Período de aprendizagem:
Nenhuma
MITRE:
| Tática MITRE primária | Acesso a credenciais (TA0006) |
|---|---|
| Tática MITRE secundária | Coleção (TA0009) |
| Técnica de ataque MITRE | Adversário no Meio (T1557) |
| Subtécnica de ataque MITRE | Envenenamento LLMNR/NBT-NS e relé SMB (T1557.001) |
Spray de senha contra OneLogin
Gravidade: Alta
Description:
No spray de senha, os invasores tentam adivinhar um pequeno subconjunto de senhas contra um grande número de usuários. Isso é feito para tentar descobrir se algum dos usuários está usando senha conhecida\fraca. Recomendamos investigar o IP de origem executando os logins com falha para determinar se eles são legítimos ou não.
Período de aprendizagem:
Nenhuma
MITRE:
| Tática MITRE primária | Acesso a credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Força Bruta (T1110) |
| Subtécnica de ataque MITRE | Pulverização de senha (T1110.003) |
Fadiga suspeita do OneLogin MFA
Gravidade: Alta
Description:
Na fadiga de MFA, os atacantes enviam várias tentativas de MFA para o usuário enquanto tentam fazê-lo sentir que há um bug no sistema que continua mostrando solicitações de MFA que pedem para permitir o login ou negar. Os atacantes tentam forçar a vítima a permitir o login, o que irá parar as notificações e permitir que o atacante faça login no sistema.
Recomendamos investigar o IP de origem executando as tentativas de MFA com falha para determinar se elas são legítimas ou não e se o usuário está executando logins.
Período de aprendizagem:
Nenhuma
MITRE:
| Tática MITRE primária | Acesso a credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Geração de solicitação de autenticação multifator (T1621) |
| Subtécnica de ataque MITRE | N/A |